IT治理概述課件

第二章IT治理

第一節(jié)IT治理概述兩個(gè)例子:1、2002年5月29日上午８時(shí)３０分左右，南京火車站電腦售票系統(tǒng)突然發(fā)生死機(jī)故障，整個(gè)車站售票處于癱瘓狀態(tài)，車站售票大廳內(nèi)人滿為患，眾多旅客不得不改乘其它交通工具離開南京。車站領(lǐng)導(dǎo)和計(jì)算機(jī)技術(shù)人員告訴記者是由于電腦升級(jí)換代，調(diào)試時(shí)線路發(fā)生故障，才引發(fā)了此次系統(tǒng)癱瘓的。

2、9月5日廣東省工行因系統(tǒng)故障，全線停業(yè)一個(gè)半小時(shí)。

這兩個(gè)例子說(shuō)明什么？

IT是技術(shù)，是資源，是服務(wù)，更是成本企業(yè)需要將IT應(yīng)用于業(yè)務(wù)領(lǐng)域，通常需要提出以下問(wèn)題：企業(yè)所需要的IT服務(wù)是什么？這些IT服務(wù)需要多少成本？企業(yè)IT應(yīng)用中的決策機(jī)制如何？企業(yè)IT應(yīng)用中的則、權(quán)、利如何分配？企業(yè)的IT應(yīng)用應(yīng)達(dá)到什么樣的水平？企業(yè)如何管理好自己的IT資源？企業(yè)如何做好IT的風(fēng)險(xiǎn)管理？

…

所有這些問(wèn)題都離不開一個(gè)概念———IT治理。第二章IT治理?yè)?jù)國(guó)外一份統(tǒng)計(jì)數(shù)據(jù)表明企業(yè)中IT系統(tǒng)出現(xiàn)故障有幾大原因：1、惡意代碼攻擊;2、缺乏有效的監(jiān)控制度和手段;3、IT設(shè)備本身的性能問(wèn)題;4、應(yīng)用系統(tǒng)/數(shù)據(jù)本身存在問(wèn)題;5、員工缺少技能培訓(xùn);6、不同部門的IT人員之間缺乏協(xié)調(diào);7、缺少運(yùn)營(yíng)管理方法論的指導(dǎo);

8、員工不按規(guī)足/流程操作。

可以看到在這些原因中都和管理與流程存在很大關(guān)系，要做好組織中的IT風(fēng)險(xiǎn)控制和信息安全離不開IT治理。第二章IT治理第二章IT治理

從IT的各種定義可總結(jié)出有關(guān)IT治理的共同點(diǎn)：1、

IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致；

2、

IT治理管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會(huì)為代表）；3、

IT治理保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險(xiǎn)透明化，指導(dǎo)和控制IT投資、機(jī)遇、利益、風(fēng)險(xiǎn)；

4、IT治理包括管理層、組織結(jié)構(gòu)、過(guò)程，以確保IT維持和拓展組織戰(zhàn)略目標(biāo)；

5、應(yīng)該合理利用企業(yè)的信息資源，有效地集成與協(xié)調(diào)；

6、確保IT及時(shí)按照目標(biāo)交付，有合適的功能和期望的收益，是一個(gè)一致性和價(jià)值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段；7、引導(dǎo)IT戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，變革企業(yè)，或者創(chuàng)建一個(gè)信息基礎(chǔ)架構(gòu)，保證業(yè)務(wù)增長(zhǎng)，并在一個(gè)新的領(lǐng)域競(jìng)爭(zhēng)；

8、對(duì)于核心IT資源做出合理的決策，進(jìn)入新的市場(chǎng)，驅(qū)動(dòng)競(jìng)爭(zhēng)策略，創(chuàng)造總的收入增長(zhǎng)，改善客戶滿意度，維系客戶關(guān)系。

無(wú)論這些定義從哪個(gè)角度關(guān)注IT治理，但都涉及信息系統(tǒng)、技術(shù)及連通性、商業(yè)活動(dòng)、法律相關(guān)事宜以及所有利益相關(guān)者—公司董事、高級(jí)管理人員、業(yè)務(wù)流程的執(zhí)行者、IT供應(yīng)商、IT的使用者以及審計(jì)人員等?！狪T治理對(duì)象。同時(shí)，也是IT治理審計(jì)對(duì)象。

IT治理的使命：保持IT與業(yè)務(wù)目標(biāo)一致，推動(dòng)業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，適當(dāng)管理與IT相關(guān)的風(fēng)險(xiǎn)。

從本質(zhì)上講，IT治理：

是一種制度設(shè)計(jì)；是一種有效機(jī)制；是一種IT資源的管理和分配；是一種風(fēng)險(xiǎn)管理和控制；是一種認(rèn)識(shí)問(wèn)題；是一個(gè)過(guò)程。

第二章IT治理二、IT治理與IT管理、公司治理的關(guān)系1、IT治理與IT管理的關(guān)系。主要體現(xiàn)在：（1）IT治理是指最高管理層（董事會(huì)）利用它來(lái)監(jiān)督管理層在IT戰(zhàn)略上的過(guò)程、結(jié)構(gòu)和聯(lián)系，以確保這種運(yùn)營(yíng)處于正確的軌道之上。IT管理是公司的信息及信息系統(tǒng)的運(yùn)營(yíng)，確定IT目標(biāo)以及實(shí)現(xiàn)此目標(biāo)所采取的行動(dòng)；（2）IT治理與IT管理的關(guān)系，是指導(dǎo)關(guān)系，即先與后，上與下的關(guān)系。

（3）IT治理強(qiáng)調(diào)構(gòu)建良好的管理環(huán)境，而IT管理強(qiáng)調(diào)對(duì)IT資源的運(yùn)營(yíng)。

第二章IT治理其中涉及要素：IT資源由此涉及：IT治理問(wèn)題IT治理與公司治理的關(guān)系：

公司治理和IT治理都是市場(chǎng)(含政府)他律的機(jī)制，是如何“管好管理者”的機(jī)制，其目標(biāo)也是一致的：達(dá)到業(yè)務(wù)永續(xù)運(yùn)營(yíng)，并增加組織的長(zhǎng)期獲利機(jī)會(huì)。公司治理驅(qū)動(dòng)和調(diào)整IT治理；IT影響企業(yè)的戰(zhàn)略競(jìng)爭(zhēng)機(jī)遇。公司治理側(cè)重于企業(yè)整體規(guī)劃；IT治理側(cè)重于企業(yè)中信息資源的有效利用和管理。

處理好IT治理與公司治理的關(guān)系，應(yīng)解決：

第二章IT治理1、認(rèn)識(shí)上，要將信息技術(shù)不僅視為技術(shù)，更是業(yè)務(wù)；2、戰(zhàn)略上，促進(jìn)IT戰(zhàn)略與公司戰(zhàn)略的整合，使IT成為公司戰(zhàn)略的中心，保證公司戰(zhàn)略從制訂之初就具備競(jìng)爭(zhēng)力；3、實(shí)施上，通過(guò)IT治理，主要從風(fēng)險(xiǎn)回避方面保證公司治理的落實(shí)。

第二章IT治理

第二節(jié)IT治理的目標(biāo)和范圍一、IT治理的目標(biāo)

IT治理應(yīng)著眼于以下目標(biāo)：1、與業(yè)務(wù)目標(biāo)一致原則：服從于企業(yè)戰(zhàn)略，不能背離2、有效利用信息資源IT治理的使命：通過(guò)及時(shí)、有效的IT治理，促進(jìn)信息的價(jià)值轉(zhuǎn)化3、風(fēng)險(xiǎn)管理通過(guò)IT治理：構(gòu)建風(fēng)險(xiǎn)管理制度及風(fēng)險(xiǎn)應(yīng)對(duì)決策；使風(fēng)險(xiǎn)透明化；有效的風(fēng)險(xiǎn)投資、管理和控制；風(fēng)險(xiǎn)的防范措施。實(shí)現(xiàn)：平衡信息技術(shù)與過(guò)程的風(fēng)險(xiǎn)，確保組織目標(biāo)的實(shí)現(xiàn)

第二章IT治理根據(jù)該公司的發(fā)展戰(zhàn)略框架確定需重點(diǎn)解決的問(wèn)題：(1)集成物流分散點(diǎn)，降低營(yíng)運(yùn)成本與費(fèi)用；(2)建立庫(kù)存控制機(jī)制與準(zhǔn)則，避免內(nèi)部控制和監(jiān)管的失靈；(3)集成和標(biāo)準(zhǔn)化訂單業(yè)務(wù)流程；(4)建立追究責(zé)任制，完善安全管理；(5)推動(dòng)商務(wù)運(yùn)作，加強(qiáng)對(duì)外合作與聯(lián)盟；(6)滿足現(xiàn)有客戶，擴(kuò)展新客戶；(7)完善貨款追蹤到位機(jī)制。第二章IT治理根據(jù)目標(biāo)和問(wèn)題，確定IT建設(shè)內(nèi)容，即IT戰(zhàn)略目標(biāo)：(1)聯(lián)網(wǎng)各分散物流點(diǎn)的執(zhí)行系統(tǒng)，由總部統(tǒng)一監(jiān)控與管理；(2)構(gòu)建JIT配送平臺(tái)，確保零庫(kù)存；(3)采用物流執(zhí)行系統(tǒng)，從而組成完整的訂單，并持續(xù)改進(jìn)客戶的響應(yīng)速度，同時(shí)，該系統(tǒng)可以幫助客戶將訂單轉(zhuǎn)變成可以發(fā)運(yùn)的品項(xiàng)，從而降低運(yùn)輸費(fèi)用；(4)完善客戶訂單與發(fā)貨品的追蹤系統(tǒng)，使客戶能夠及時(shí)獲取貨項(xiàng)信息；(5)建立電子商務(wù)平臺(tái)，通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)配送外協(xié)等合作，提高與供應(yīng)商、政府部門之間配合的效率;(6)建立客戶關(guān)系管理系統(tǒng)，通過(guò)Web網(wǎng)站、E-Mail系統(tǒng)、呼叫中心、自動(dòng)傳真回復(fù)系統(tǒng)等，向客戶提供365天×24小時(shí)的不間斷服務(wù)；(7)搭建財(cái)務(wù)管理系統(tǒng)，保證財(cái)務(wù)部門及所有受支持的部門都能獲得精、快的財(cái)務(wù)信息，以便有效地進(jìn)行業(yè)務(wù)決策及監(jiān)控現(xiàn)金的收支情況。根據(jù)以上所確定的IT建設(shè)內(nèi)容，并形成了該公司的IT藍(lán)圖（見(jiàn)圖）

第二章IT治理發(fā)貨品管理成本管理安全管理訂單管理配送管理客戶管理反向物流管理第三方管理呼叫中心市場(chǎng)分析人力資源管理、財(cái)務(wù)管理協(xié)同辦公平臺(tái)管理第二章IT治理第三節(jié)IT治理的關(guān)鍵問(wèn)題一、IT治理的關(guān)鍵問(wèn)題IT治理的關(guān)鍵問(wèn)題表現(xiàn)在：1、IT投資是否與企業(yè)經(jīng)營(yíng)在戰(zhàn)略目標(biāo)(Strategy)，策略(Tactic)和運(yùn)營(yíng)(即operation)層面相融合，從而構(gòu)筑必要的核心競(jìng)爭(zhēng)力；2、IT治理是否有助于合理的制度安排真正發(fā)揮其作用；3、在長(zhǎng)期的IT應(yīng)用中，是否持續(xù)地創(chuàng)造商業(yè)價(jià)值；4、是否有有效的風(fēng)險(xiǎn)管理機(jī)制。其中最關(guān)鍵的問(wèn)題是第一點(diǎn)：IT治理應(yīng)體現(xiàn)以“組織戰(zhàn)略目標(biāo)為中心”思想。

第二章IT治理搞好IT治理必須解決的問(wèn)題：1、IT關(guān)鍵領(lǐng)域誰(shuí)做決策和如何決策。5個(gè)IT關(guān)鍵領(lǐng)域：A、信息技術(shù)原則；B、信息技術(shù)結(jié)構(gòu)；C、信息技術(shù)基礎(chǔ)設(shè)施；D、企業(yè)應(yīng)用需要；E、信息技術(shù)投資及優(yōu)先順序。2、信息化中的責(zé)、權(quán)、利問(wèn)題；3、信息化建設(shè)中的風(fēng)險(xiǎn)評(píng)估和績(jī)效評(píng)價(jià)問(wèn)題；4、信息系統(tǒng)控制與信息技術(shù)管理體系問(wèn)題。

第二章IT治理

信息化建設(shè)中的風(fēng)險(xiǎn)管理及評(píng)估流程：

1)確立可承受的IT風(fēng)險(xiǎn)損失價(jià)值；2)IT風(fēng)險(xiǎn)識(shí)別；（列舉清單法、專家判斷法、工作分解分析法、信息檢索法、訪談法、流程圖和魚刺圖法）3)IT風(fēng)險(xiǎn)預(yù)測(cè)；4)IT風(fēng)險(xiǎn)日常管理與控制；5)IT盈利與損失統(tǒng)計(jì)；6)風(fēng)險(xiǎn)再評(píng)級(jí)。

第二章IT治理績(jī)效評(píng)價(jià)方法（業(yè)績(jī)衡量）——IT平衡計(jì)分卡法。主要從以下幾個(gè)方面衡量：(1)IT價(jià)值貢獻(xiàn)；(2)客戶滿意度；(3)內(nèi)部處理過(guò)程；(4)學(xué)習(xí)與創(chuàng)新。

(3)內(nèi)部處理過(guò)程

IT內(nèi)部過(guò)程關(guān)注IT部門兩個(gè)基本過(guò)程的改進(jìn)和度量：系統(tǒng)開發(fā)過(guò)程以及系統(tǒng)運(yùn)營(yíng)過(guò)程，此外也關(guān)注其他過(guò)程，如問(wèn)題管理、用戶教育、人員管理、通信渠道的使用等。在評(píng)價(jià)IT內(nèi)部過(guò)程，主要考慮以下問(wèn)題：?交付的產(chǎn)品質(zhì)量是否符合通用標(biāo)準(zhǔn)；?交付的產(chǎn)品是否使用可普遍接受的方法與工具；?用于支持主要過(guò)程改進(jìn)的IT資源是否充分；?基礎(chǔ)設(shè)施是否為業(yè)務(wù)需要提供了可靠支持；?企業(yè)IT基礎(chǔ)設(shè)施是否得到維護(hù)。

第二章IT治理

(4)學(xué)習(xí)與創(chuàng)新

主要用于評(píng)價(jià)IT組織的技能水平以及持續(xù)學(xué)習(xí)和革新的能力。在評(píng)價(jià)IT學(xué)習(xí)與革新能力的時(shí)候，主要考慮以下問(wèn)題：?是否有正確的技能與人員來(lái)保證質(zhì)量；?是否追蹤對(duì)企業(yè)業(yè)務(wù)發(fā)展有重要意義的新技術(shù)的方向；?是否使用認(rèn)可的方法來(lái)構(gòu)建與管理IT項(xiàng)目；?是否為員工提供適當(dāng)?shù)墓ぞ?、培?xùn)、執(zhí)行任務(wù)的動(dòng)機(jī)。

二、IT治理缺失的癥狀

1、各自為政，缺乏統(tǒng)一、全局的IT戰(zhàn)略規(guī)劃；2、信息化建設(shè)領(lǐng)導(dǎo)者錯(cuò)位，IT應(yīng)用方案和企業(yè)業(yè)務(wù)需求之間邏輯錯(cuò)位；3、決策的技術(shù)經(jīng)濟(jì)論證不足；4、信息資源的合理應(yīng)用是信息化的薄弱環(huán)節(jié)；5、利益沖突和信息的不透明；6、IT安全治理和風(fēng)險(xiǎn)管理缺位；7、非技術(shù)性的障礙；8、重硬件購(gòu)買，輕軟件和咨詢服務(wù)；9、信息化建設(shè)找不到重心。

第二章IT治理建立有效的IT治理需從5個(gè)領(lǐng)域進(jìn)行：1、IT戰(zhàn)略一致性；

2、IT價(jià)值交付；

3、IT資源管理；

4、IT風(fēng)險(xiǎn)管理；

5、IT性能評(píng)價(jià)。

第二章IT治理第四節(jié)IT治理框架和標(biāo)準(zhǔn)一、IT治理框架

構(gòu)建IT治理架購(gòu)包含三個(gè)方面:

組織機(jī)構(gòu)、流程、溝通機(jī)制

（3）CIO。CIO崗位的職責(zé):發(fā)起制定、組織完成企業(yè)IT戰(zhàn)略規(guī)劃;開發(fā)企業(yè)應(yīng)用，協(xié)調(diào)企業(yè)和部門的應(yīng)用開發(fā);保障IT基礎(chǔ)設(shè)施和體系架構(gòu)的運(yùn)行及投資;決定IT服務(wù)和技能服務(wù)；建立關(guān)鍵的IT供應(yīng)商和咨詢顧問(wèn)間的戰(zhàn)略伙伴關(guān)系；提供技術(shù)支持使企業(yè)增加收入和盈利能力;維護(hù)客戶滿意度；向用戶提供培訓(xùn)。

第二章IT治理（4）管理者。管理者的職責(zé)是：將IT風(fēng)險(xiǎn)管理責(zé)任和控制落實(shí)到企業(yè)中；將戰(zhàn)略，策略，目標(biāo)等落實(shí)到企業(yè)日常工作中，并使信息技術(shù)的組織與企業(yè)目標(biāo)一致；促進(jìn)信息的創(chuàng)造與共享；通過(guò)衡量公司業(yè)績(jī)和競(jìng)爭(zhēng)優(yōu)勢(shì)來(lái)測(cè)度信息技術(shù)的效果；關(guān)注重要的增值的信息技術(shù)過(guò)程；關(guān)注與規(guī)劃和管理IT資產(chǎn)、風(fēng)險(xiǎn)、工程項(xiàng)目、客戶和供應(yīng)商相關(guān)的核心競(jìng)爭(zhēng)能力，等。（5）信息技術(shù)人員。負(fù)責(zé)項(xiàng)目的開發(fā)與實(shí)施；負(fù)責(zé)項(xiàng)目技術(shù)指導(dǎo)與實(shí)現(xiàn)；負(fù)責(zé)信息系統(tǒng)的日常運(yùn)行與維護(hù)；為業(yè)務(wù)部門和管理人員提供技術(shù)服務(wù)支持。第二章IT治理（6）外部和內(nèi)部審計(jì)人員。信息系統(tǒng)的管理、規(guī)劃與組織評(píng)價(jià)；評(píng)價(jià)組織在技術(shù)與操作基礎(chǔ)設(shè)施的管理和實(shí)施方面的有效性及效率；對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià)；對(duì)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃評(píng)價(jià)；對(duì)應(yīng)用系統(tǒng)的開發(fā)、獲得、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評(píng)價(jià)；業(yè)務(wù)流程評(píng)價(jià)與風(fēng)險(xiǎn)管理評(píng)價(jià)。第二章IT治理三、COBIT簡(jiǎn)介：COBIT（信息及相關(guān)技術(shù)的控制目標(biāo)），是有關(guān)IT治理的一個(gè)開放標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)是國(guó)際公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為IT的治理、安全與控制提供了一個(gè)一般適用的公認(rèn)的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為組織有效的利用信息資源，有效管理、控制與信息相關(guān)的風(fēng)險(xiǎn)提供指導(dǎo)。COBIT將IT過(guò)程，IT資源及信息與企業(yè)的策略與目標(biāo)聯(lián)系起來(lái)，形成一個(gè)三維的體系結(jié)構(gòu)（參見(jiàn)P.52圖）

COBIT的體系框架包括四大部分：控制目標(biāo)、管理指南、審計(jì)指南、工具集（參見(jiàn)P.54圖）第二章IT治理第二章IT治理IT準(zhǔn)則維：反映了企業(yè)使用IT的戰(zhàn)略目標(biāo)。標(biāo)準(zhǔn)包括：有效性、效率性、機(jī)密性、完整性、可用性、一致性、可靠性等IT資源維：描述了IT治理過(guò)程的主要資源對(duì)象。對(duì)象包括：人員、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施和數(shù)據(jù)等IT過(guò)程維：是對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理的過(guò)程。提供了：從信息系統(tǒng)生命周期的四大域確定了34個(gè)信息技術(shù)處理過(guò)程，每個(gè)處理過(guò)程包括詳細(xì)的控制目標(biāo)和與控制目標(biāo)相聯(lián)系的審計(jì)指南。

第二章IT治理四大域：計(jì)劃與組織；采集與實(shí)施；交付與支持；監(jiān)控

34個(gè)信息技術(shù)處理過(guò)程（從四大域）包括：(參見(jiàn)教材P.53表）計(jì)劃與組織：定義IT戰(zhàn)略、定義信息體系結(jié)構(gòu)、確定技術(shù)方向、定義IT組織與關(guān)系、管理IT投資、管理目標(biāo)和方向、人力資源管理、確保與外部需求的一致性、風(fēng)險(xiǎn)評(píng)估、項(xiàng)目管理、質(zhì)量管理

采集與實(shí)施：確定自動(dòng)化的解決方案、獲取并維護(hù)應(yīng)用程序、獲取并維護(hù)技術(shù)基礎(chǔ)設(shè)施、系統(tǒng)安裝與鑒定、變革管理交付與支持：定義并管理服務(wù)水平、管理第三方的服務(wù)、管理性能與容量、確保服務(wù)的連續(xù)性、確保系統(tǒng)安全、確定并分配成本、教育并培訓(xùn)客戶、配置管理、處理問(wèn)題和突發(fā)事件、數(shù)據(jù)管理、設(shè)施管理、運(yùn)營(yíng)管理

第二章IT治理監(jiān)控：過(guò)程監(jiān)控、評(píng)價(jià)內(nèi)部控制的適當(dāng)性、獲取獨(dú)立保證、提供獨(dú)立的審計(jì)控制目標(biāo)中：計(jì)劃和組織目標(biāo)：判別哪些IT策略最有助于業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)；應(yīng)設(shè)置何種組織結(jié)構(gòu)，建立何種技術(shù)基礎(chǔ)結(jié)構(gòu)，如何對(duì)IT策略的實(shí)現(xiàn)進(jìn)行計(jì)劃、協(xié)調(diào)與管理。采集和實(shí)施目標(biāo)：為了實(shí)現(xiàn)IT戰(zhàn)略，如何定義、開發(fā)、獲取、實(shí)施IT解決方案，并把這一方案集成到業(yè)務(wù)過(guò)程中。如何解決系統(tǒng)的變遷與維護(hù)，以使系統(tǒng)的生命周期得以延續(xù)。交付與支持目標(biāo)：如何解決系統(tǒng)交付所需的服務(wù)，包括操作安全性、連續(xù)性、人員培訓(xùn)以及需建立的支持過(guò)程，還包括實(shí)際數(shù)據(jù)處理，通常按應(yīng)用控制進(jìn)行分類。監(jiān)控目標(biāo)：評(píng)估IT過(guò)程質(zhì)量，評(píng)估IT過(guò)程與控制需求相符的程度

第二章IT治理第二章IT治理管理指南：COBIT給出了：度量IT過(guò)程的指標(biāo)體系、度量的尺度以及度量的基準(zhǔn)點(diǎn)。

4個(gè)指標(biāo)：成熟度模型CMM，以及關(guān)鍵成功因素CSF、關(guān)鍵目標(biāo)指標(biāo)KGI、關(guān)鍵性能指標(biāo)KPI

4個(gè)指標(biāo)簡(jiǎn)介：

1、成熟度模型CMM功能：確定IT控制的基準(zhǔn)。從而認(rèn)清企業(yè)所處的行業(yè)地位，如何測(cè)定和比較

2、關(guān)鍵成功因素CSF功能：勾畫IT控制輪廓。從而描繪重要的、控制的關(guān)鍵成功因素

3、關(guān)鍵目標(biāo)指標(biāo)KGI功能：識(shí)別IT處理過(guò)程的目標(biāo)。從而認(rèn)識(shí)哪些是必須做到的，不能達(dá)成目標(biāo)的風(fēng)險(xiǎn)有哪些

4、關(guān)鍵性能指標(biāo)KPI功能：測(cè)定IT處理過(guò)程的性能。從而評(píng)價(jià)IT輸出和實(shí)際績(jī)效，評(píng)價(jià)處理過(guò)程執(zhí)行好壞的程度

第二章IT治理案例1：關(guān)鍵成功因素CSF1、IT治理活動(dòng)與公司治理相結(jié)合，并有公司領(lǐng)導(dǎo)的參與；2、IT治理專注于公司目標(biāo)、戰(zhàn)略，使用技術(shù)提高業(yè)務(wù)水平，及滿足業(yè)務(wù)需求的足夠可用的資源和能力；3、IT治理活動(dòng)應(yīng)該目標(biāo)明確，制度規(guī)范和實(shí)施有效，并落實(shí)到人；4、實(shí)施最佳管理實(shí)踐以提高資源的有效利用，提供IT過(guò)程的效率；5、建立組織以充分監(jiān)督，根據(jù)標(biāo)準(zhǔn)程序評(píng)估風(fēng)險(xiǎn)，及監(jiān)督和追究控制缺陷和風(fēng)險(xiǎn)；6、建立內(nèi)部控制準(zhǔn)則以避免內(nèi)部控制和監(jiān)管的失靈；7、IT問(wèn)題管理、變革管理和配置管理等，是集成和關(guān)聯(lián)的；8、建立審計(jì)委員會(huì)。第二章IT治理案例2：關(guān)鍵目標(biāo)指標(biāo)KGI1、加強(qiáng)績(jī)效和成本管理；2、提高主要的IT投資的回報(bào)；3、提高響應(yīng)市場(chǎng)速度；4、增加質(zhì)量，創(chuàng)新和風(fēng)險(xiǎn)管理；5、適當(dāng)集成和標(biāo)準(zhǔn)化業(yè)務(wù)流程；6、擴(kuò)展新客戶，滿足現(xiàn)有客戶；7、可用的適當(dāng)帶寬，計(jì)算能力和IT交付機(jī)制；8、在預(yù)算范圍內(nèi)及時(shí)滿足客戶的需求和期望；9、不違反法律、法規(guī)，行業(yè)標(biāo)準(zhǔn)和各類合同；10、清楚承擔(dān)的風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)應(yīng)與組織整體風(fēng)險(xiǎn)狀況相一致；11、進(jìn)行IT治理成熟度標(biāo)桿比較；12、創(chuàng)造傳遞服務(wù)的新渠道。第二章IT治理案例3：關(guān)鍵性能指標(biāo)KPI1、提高了IT流程的成效（成本、交付能力）；2、增加了用于改善流程的IT計(jì)劃；3、增加了IT基礎(chǔ)設(shè)施的利用率；4、增加了客戶滿意度；5、增加了員工工作效率和士氣；6、增加用于管理公司的知識(shí)和信息的可用性；7、增加IT治理和公司治理的聯(lián)系；8、使用平衡計(jì)分卡測(cè)量時(shí)，績(jī)效得到提高。第二章IT治理運(yùn)用：借助于CMM模型，了解IT過(guò)程管理所處的狀態(tài)和自身的薄弱環(huán)節(jié)，并有針對(duì)性地解決自身的問(wèn)題。借助于CSF、KGI、KPI指標(biāo)有效地進(jìn)行IT過(guò)程管理。審計(jì)指南：為中介評(píng)估機(jī)構(gòu)或信息系統(tǒng)審計(jì)師對(duì)信息系統(tǒng)的控制進(jìn)行了解、評(píng)估和實(shí)施審計(jì)提供建議與指導(dǎo)。給出了：IT審計(jì)的一般方法和要求；根據(jù)COBIT的框架，針對(duì)信息系統(tǒng)34個(gè)高層次控制目標(biāo)建議了相應(yīng)的審計(jì)步驟；為信息系統(tǒng)審計(jì)師具體檢驗(yàn)和評(píng)價(jià)各IT過(guò)程是否符合318個(gè)具體控制目標(biāo)給出了詳細(xì)的審計(jì)指南,并指出了各控制目標(biāo)未達(dá)到時(shí)會(huì)帶來(lái)的風(fēng)險(xiǎn)及改進(jìn)控制的建議。第二章IT治理應(yīng)用工具集：提供了包括管理意識(shí)、IT控制診斷、應(yīng)用指導(dǎo)、常見(jiàn)問(wèn)題集、、個(gè)案研究等工具，以及介紹COBIT的相關(guān)課件。目的：工具集的設(shè)計(jì)主要是讓COBIT的應(yīng)用更加便利，使組織可以快速且成功地掌握如何在不同的工作環(huán)境中應(yīng)用COBIT。第二章IT治理COBIT的主要優(yōu)點(diǎn)：1、可以幫助在管理層、IT與審計(jì)之間交流的鴻溝上搭建橋梁，提供了彼

此之間溝通的共同語(yǔ)言；2、通過(guò)實(shí)施COBIT，增加了管理層對(duì)控制的感知及支持；3、COBIT使IT管理工作簡(jiǎn)易并量化，減輕對(duì)復(fù)雜信息系統(tǒng)管理工作的難度，并且可以應(yīng)用在每天都在發(fā)生的各種新問(wèn)題中；

4、COBIT提供了一種國(guó)際通用的IT管理及問(wèn)題解決方案，普遍適用于各種不同的商業(yè)項(xiàng)目和審計(jì)；5、COBIT有助于提高信息系統(tǒng)審計(jì)師的影響力；6、COBIT框架可以能夠幫助決定過(guò)程責(zé)任，提高IT治理水平。

第五節(jié)IT治理機(jī)制和方法一、建立IT治理機(jī)制第二章IT治理如何有效地進(jìn)行IT治理？需要——建立有效的IT治理機(jī)制，因?yàn)椋?/p>

決定信息系統(tǒng)是否有效運(yùn)轉(zhuǎn)的因素不是信息技術(shù)，而是治理機(jī)制、管理模式、制度與規(guī)則，流程與標(biāo)準(zhǔn)，最終是人。因此，在這些因素之上，需要合理有效的制度安排。

建立有效的IT治理機(jī)制，要做好以下幾方面：1、實(shí)現(xiàn)企業(yè)戰(zhàn)略與IT戰(zhàn)略互動(dòng)；2、政府應(yīng)作為推動(dòng)者；3、建立專門化的建立IT治理委員會(huì)；4、保證職責(zé)明確；5、信息系統(tǒng)審計(jì)。

第二章IT治理二、IT治理的方法1、積極進(jìn)行IT治理設(shè)計(jì)要求：最高管理層（董事會(huì)）樹立和維護(hù)IT戰(zhàn)略地位的思想認(rèn)識(shí)，從組織的戰(zhàn)略出發(fā)而不是從系統(tǒng)的需求出發(fā)，可以避免脫離目標(biāo)而進(jìn)行建設(shè)的困境；發(fā)展外部市場(chǎng)監(jiān)控和審計(jì)機(jī)制。

包括：構(gòu)建有效的：IT治理結(jié)構(gòu)；決策制定程序；IT原則、架構(gòu)、基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用需求、投資決策程序；風(fēng)險(xiǎn)管理制度；審計(jì)監(jiān)督程序，等。

第二章IT治理2、選擇正確的時(shí)間進(jìn)行IT治理設(shè)計(jì)選擇依據(jù)：公司治理的IT需求；企業(yè)的戰(zhàn)略目標(biāo)；企業(yè)的業(yè)務(wù)需求及變革需求；IT風(fēng)險(xiǎn)管理；價(jià)值的交付。3、高層經(jīng)理人員的參與高層經(jīng)理人員：企業(yè)的高層管理者、CIO、審計(jì)主管，等角色：參與IT戰(zhàn)略的總體制定與決策；證實(shí)IT戰(zhàn)略與企業(yè)戰(zhàn)略一致；證實(shí)IT通過(guò)明確的期望和衡量手段交付；指導(dǎo)IT戰(zhàn)略、平衡支持企業(yè)和使企業(yè)成長(zhǎng)的投資；恰當(dāng)決策信息資源應(yīng)著重使用的地方。

第二章IT治理4、對(duì)目標(biāo)有所取舍目標(biāo)選擇：選擇核心流程；業(yè)務(wù)應(yīng)用需求；市場(chǎng)的機(jī)會(huì)；商業(yè)價(jià)值；效率和服務(wù)的比較；

第二章IT治理5、制定例外處理流程關(guān)鍵要素：能夠?qū)α鞒踢M(jìn)行清楚地定義，且企業(yè)所有的人都能理解；

流程要能使問(wèn)題可以迅速提交給高層管理者；

例外流程應(yīng)被采用到企業(yè)架構(gòu)之中。6、提供相應(yīng)的激勵(lì)措施：有一套激勵(lì)制度；有活力的組織和人員；有利于調(diào)動(dòng)利益各方的積極性；激勵(lì)的整體性和持續(xù)性；建立激勵(lì)的可衡量指標(biāo)；激勵(lì)方式的多樣性；激勵(lì)與責(zé)、權(quán)、利相結(jié)合。

第二章IT治理7、在組織的多個(gè)層面設(shè)計(jì)治理要求：在高層，應(yīng)把握IT治理的戰(zhàn)略和決策；在中層，應(yīng)注重IT治理的組織、管理和實(shí)施；在低層，應(yīng)注重IT治理的有效執(zhí)行和協(xié)調(diào)。注意點(diǎn)：做好自上而下的領(lǐng)導(dǎo)關(guān)系；做好自下而上的反饋關(guān)系；把握好各層面之間的溝通協(xié)調(diào)；注意責(zé)、權(quán)、利之間的一致性。8、加強(qiáng)透明度和教育主要體現(xiàn)：通過(guò)各種方式加強(qiáng)溝通和交流；加強(qiáng)IT治理意識(shí)和技能的培訓(xùn)。

9、運(yùn)用相同的機(jī)制治理多個(gè)關(guān)鍵資產(chǎn)第二章IT治理三、IT治理的基本程序1、在業(yè)務(wù)目標(biāo)的驅(qū)動(dòng)下，制定IT戰(zhàn)略，并保證IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略目標(biāo)的匹配；2、挖掘業(yè)務(wù)需求，完善信息系統(tǒng)建設(shè)，使IT真正為業(yè)務(wù)提升、管理創(chuàng)新貢獻(xiàn)價(jià)值；3、實(shí)施IT項(xiàng)目管理與風(fēng)險(xiǎn)管理；4、進(jìn)行IT績(jī)效評(píng)估。IT治理是一個(gè)循序漸進(jìn)的往復(fù)循環(huán)的過(guò)程第二章IT治理

第六節(jié)IT治理成熟度模型

如何對(duì)IT治理狀況進(jìn)行評(píng)價(jià)？——涉及：評(píng)價(jià)方法

目前較為流行IT治理的評(píng)價(jià)方法有三種：

IT成熟度模型、PW方法、CBSO法

IT成熟度模型介紹：

IT成熟度模型制定了一個(gè)基準(zhǔn)，組織可能根據(jù)上面的指標(biāo)確定自己的等級(jí)，從而了解定位自己企業(yè)的IT治理在業(yè)界所處的位置，確定未來(lái)努力的方向。

第二章IT治理平衡風(fēng)險(xiǎn)和收益后的IT治理和IT增值流程治理成熟度級(jí)別如下：不存在級(jí)（0級(jí)）：完全不存在可辨識(shí)的信息治理流程。初始級(jí)（1級(jí)）：初始的混亂的。

可重復(fù)級(jí)（2級(jí)）：重復(fù)的但模糊的。已定義級(jí)（3級(jí)）：已定義流程。已管理級(jí)（4級(jí)）：已管理和可測(cè)量的。優(yōu)化級(jí)（5級(jí)）：全面滿足IT治理的要求并持續(xù)改進(jìn)。

第二章IT治理IT治理成熟度模型方法的優(yōu)點(diǎn)與作用：1、是一種進(jìn)行實(shí)用性比較的等級(jí)制，能以簡(jiǎn)單方式測(cè)定差異，有助于確定有關(guān)信息技術(shù)管理、安全性。2、是測(cè)量管理處理發(fā)展程度的一種方法，有助于企業(yè)將主要精力投入到關(guān)鍵的管理方面。3、有助于專業(yè)人員向管理層解釋IT管理存在的缺陷，從而確定組織的發(fā)展目標(biāo)。4、將有助于解決以下在IT部門中普遍存在的問(wèn)題：

（1）在競(jìng)爭(zhēng)激烈的市場(chǎng)環(huán)境中，您的公司或部門在IT應(yīng)用中處于什么水平？

（2）如果您認(rèn)為有差距，究竟差在哪里？如何去改進(jìn)？

（3）如果您覺(jué)得運(yùn)作良好，那么您能說(shuō)出好在哪里？好到何種程度？

（4）如何對(duì)IT管理進(jìn)行績(jī)效評(píng)估？第二章IT治理

第七節(jié)審計(jì)IT治理架構(gòu)一、審計(jì)IT治理架構(gòu)和實(shí)施如果一個(gè)企業(yè)信息系統(tǒng)存在以下具有潛在風(fēng)險(xiǎn)的特征：（參見(jiàn)P.65）1、最終用戶態(tài)度不友好；2、過(guò)多的成本；3、預(yù)算超支；4、較高的員工離職率；5、缺乏經(jīng)驗(yàn)的員工；

6、經(jīng)常出現(xiàn)硬件/軟件故障；7、用戶請(qǐng)求被積壓，沒(méi)有得到及時(shí)響應(yīng)；8、遲緩的計(jì)算機(jī)相應(yīng)時(shí)間；9、大量的廢止或暫停的開發(fā)項(xiàng)目；10、未受支持或未經(jīng)授權(quán)的硬件/軟件采購(gòu)；11、經(jīng)常性的硬件/軟件升級(jí)；12、對(duì)例外報(bào)告沒(méi)有采取跟蹤處理措施；13、缺乏動(dòng)力；14、缺乏持續(xù)性計(jì)劃；15、依賴一個(gè)到兩個(gè)關(guān)鍵員工；16、缺乏充分的培訓(xùn)。這表明，該企業(yè)存在IT治理問(wèn)題，需要建立、改善、提高其IT治理能力。

如何指出其存在的IT治理問(wèn)題，以便提出改進(jìn)建議？需要：IT治理審計(jì)第二章IT治理IT治理審計(jì)的實(shí)施：1、審核文擋文檔包括：信息技術(shù)戰(zhàn)略、計(jì)劃和預(yù)算；安全政策文檔；組織/職能圖；工作描述；指導(dǎo)委員會(huì)報(bào)告；系統(tǒng)開發(fā)和程序變更流程；操作程序；人力資源手冊(cè)。審核要點(diǎn)：完整、合理、合法合規(guī)審核目的：檢查相關(guān)文擋存在哪些問(wèn)題和不足？哪些需要改進(jìn)完善？第二章IT治理2、對(duì)被審核文擋進(jìn)行進(jìn)一步評(píng)估主要包括：文擋是否如實(shí)反映了管理層的思想，并得到了授權(quán)；文擋是否適用于當(dāng)前狀況，并能得到及時(shí)更新。審核目的：通過(guò)證實(shí)文擋的真實(shí)可靠性、有效性等進(jìn)一步獲取有關(guān)審計(jì)證據(jù)，以便為對(duì)企業(yè)的IT治理狀況進(jìn)行分析、評(píng)價(jià)提供依據(jù)。

3、現(xiàn)場(chǎng)調(diào)查（面談和觀察）主要包括：通過(guò)面談從中了解有關(guān)信息系統(tǒng)的實(shí)際情況；通過(guò)觀察對(duì)信息系統(tǒng)的真實(shí)情況進(jìn)行證實(shí)、判斷調(diào)查目的：證實(shí)文擋與實(shí)際的一致性；發(fā)現(xiàn)實(shí)際存在問(wèn)題；進(jìn)一步獲取相關(guān)證據(jù)。

第二章IT治理4、得出結(jié)論，提出審計(jì)建議依據(jù)：IT治理相關(guān)標(biāo)準(zhǔn)、模型等企業(yè)戰(zhàn)略目標(biāo)、公司治理目標(biāo)等

二、審核合同

在IT治理中，做好IT服